CVE-2022-36437

Versões do Hazelcast anteriores à 3.12.13

Versões do Hazelcast anteriores à 4.1.10

Versões do Hazelcast anteriores à 4.2.6

Versões do Hazelcast anteriores à 5.1.3

Versões do Hazelcast Jet anteriores à 4.5.4

O manipulador de conexão no Hazelcast e no Hazelcast Jet permite que um invasor remoto não autenticado acesse e manipule dados no cluster usando a identidade de outra conexão já autenticada. Se você estiver usando o Apiman Vert.x Gateway anterior ao Apiman 3.0.0.Final, um problema de cache de conexão no Hazelcast pode permitir que um invasor remoto não autenticado acesse e manipule dados no cluster usando a identidade de outra conexão autenticada. É difícil quantificar o risco exato, pois os plug-ins implantados pelos usuários podem utilizar o Hazelcast de maneira diferente da base de código principal do Apiman.

Atualize o Hazelcast para a versão 3.12.13 ou posterior.

Atualize o Hazelcast para a versão 4.1.10 ou posterior.

Atualize o Hazelcast para a versão 4.2.6 ou posterior.

Atualize o Hazelcast para a versão 5.1.3 ou posterior.

Atualize o Hazelcast Jet para a versão 4.5.4 ou posterior.

Como solução temporária, considere habilitar o TLS e a autenticação mútua para reduzir significativamente o risco de exploração. Se você estiver usando uma versão mais antiga do Apiman e precisar permanecer nessa versão, entre em contato com seu provedor de suporte do Apiman para obter orientação/suporte de longo prazo.